Microsoft Entra autentiseringsarbetsflöde
Gäller för: Configuration Manager (aktuell gren)
Den här artikeln är en teknisk referens för Configuration Manager klientinstallations- och registreringsprocessen på en Windows-enhet som är ansluten till Microsoft Entra-ID. Den beskriver arbetsflödesprocessen för enhetsautentisering.
Obs!
Windows-klienter får ett WPJ-certifikat (workplace join) när de ansluter till en Microsoft Entra klientorganisation. Om certifikatet inte hittas kan Configuration Manager-klienten inte begära Microsoft Entra token. Utan en token kan klienten inte använda kommunikationskanalen Configuration Manager security token service (CCM_STS) för Microsoft Entra-autentisering med Configuration Manager platssystem.
Klientinstallation
I det här arbetsflödesexemplet installerade du Configuration Manager-klienten på en Windows-enhet via Internet med följande kommandoradsegenskaper för ccmsetup:
CCMHOSTNAME="CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500" SMSSITECODE="MEM"
1. Microsoft Entra infobegäran från ccmsetup
Klienter som installeras från Internet behöver specifika kommandoradsegenskaper för att kunna använda Microsoft Entra autentisering. Du kan inkludera dessa egenskaper på kommandoraden för internet ccmsetup, men de krävs inte. När du inte använder Microsoft Entra egenskaper begär AADCLIENTAPPID
ccmsetup egenskaperna och AADRESOURCEURI
från molnhanteringsgatewayen (CMG). Den använder enhetens Microsoft Entra TenantID som referens. Om du inte har registrerat klientens TenantID i Configuration Manager ger CMG inte de nödvändiga egenskaperna till ccmsetup för att fortsätta klientinstallationen.
Följande poster loggas i ccmsetup.log för klienten:
Getting AAD info from CMG 'CMG.CLOUDAPP.NET'
SMS CCM 5.0: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/AADAuthInfo?TenantID=9aaf466a-3f40-4468-b3cd-f0010f21f05a, Port=443, Protocol=https, CcmTokenAuth=0, Flags=0x1304, Options=0xe0
Created connection on port 443
Enabled SSL revocation check.
Viktigt
Under ccmsetup måste enheten verifiera CMG-serverns autentiseringscertifikat. Certifikatet för rotcertifikatutfärdare (CA) för CMG-serverns autentiseringscertifikat måste vara tillgängligt på klienten för kedjevalidering. Om du använder PKI lägger du till rotcertifikatutfärdarcertifikatet i enhetens rotcertifikatutfärdararkiv när rotcertifikatutfärdare inte publiceras på Internet.
Om listan över återkallade certifikat för rotcertifikat inte publiceras på Internet lägger du till parametern /nocrlcheck
på kommandoraden ccmsetup.
2. Microsoft Entra tokenbegäran
På en windows-Azure AD domänansluten enhet använder ccmsetup egenskaperna Microsoft Entra för att begära en Microsoft Entra token som anropar ADALOperation-providern. Följande poster loggas i ccmsetup.log på klienten:
Getting AAD (device) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8b, ResourceUrl = https://ConfigMgrService, AccountId = https://login.microsoftonline.com/common/oauth2/token
Om begäran om enhetstoken misslyckas återgår ccmsetup för att försöka begära en Microsoft Entra användartoken. Om enheten inte kan hämta antingen en Microsoft Entra enhet eller en användartoken fortsätter inte ccmsetup.
Obs!
Om enheten har ett giltigt PKI-klientautentiseringscertifikat föredrar ccmsetup alltid certifikatet. I det här fallet installeras klienten som en PKI-klient och använder inte Microsoft Entra autentisering.
WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token..
Unknown error (Error: D0090016; Source: Unknown)
Failed to get AAD token for 'S-1-5-18' from WAM API. Error 0xd0090016
Falling back to get user 'S-1-5-21-1527250992-855612568-2252598708-1604' token for system...
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 149FC29A-ECE3-123-A3C1-123456F035A6E
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'
3. Configuration Manager klienttokenbegäran
Klienten använder Microsoft Entra token för att begära Configuration Manager klienttoken (CCM). Den operativa kommunikationen mellan ccmsetup och platsen använder CCM-token som auktoriseringstoken (CcmTokenAuth=1).
3.1-klienten skickar CCM-tokenbegäran till CMG
Följande poster loggas i ccmsetup.log på klienten:
Getting CCM Token from STS server 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500'
Getting CCM Token from https://cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_STS
3.2 CMG vidarebefordrar till CMG-anslutningspunkt
Följande poster loggas i CMGService.log på CMG VM-instansen.
RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS RequestCount: 1 RequestSize: 1974 Bytes ResponseCount: 1 ResponseSize: 1566 Bytes AverageElapsedTime: 218 ms~~ $$<CMGService><06-24-2020 15:31:46.376+00><thread=4992 (0x1380)>
Tips
Configuration Manager synkroniserar CMGService.log till mappen för platsserverloggar var femte minut som CMG-<CMGname>-ProxyService_IN_<%>-CMGService.log
.
3.3 CMG-anslutningspunkt omvandlar CMG-klientbegäran till hanteringsplatsklientbegäran
Följande poster loggas i SMS_CLOUD_PROXYCONNECTOR.log (utförligt läge) i platssystemet som är värd för CMG-anslutningspunktrollen:
SMS_CLOUD_PROXYCONNECTOR Switched to internal URL. Replaced 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' in 'https://CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/CCM_STS' with 'https://MP.MYCORP.COM/CCM_STS' and got 'https:///MP.MYCORP.COM/CCM_STS~~
3.4 Hanteringsplats verifierar användartoken i platsdatabasen
Följande poster loggas i CCM_STS.log för det platssystem som är värd för hanteringsplatsen som hanterar klientbegäran:
ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client
4. Begäran om innehållsplats
När klienten hämtar CCM-token cachelagrar den och använder den för att begära platsinformation och innehåll för ccmsetup.cab. När enheten laddar ned klientinnehållet startar installationen. Följande poster loggas i ccmsetup.log på klienten:
Cached encrypted token for 'S-1-5-18'. Will expire at '06/25/2020 08:29:35'
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth7981/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4100, Options=0xe0
Created connection on port 443
Sending location request to 'cmg.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500' with payload '< Request >
Appending CCM Token to the header.
Received message '<SiteInfoReply SchemaVersion="1.00"> < reply > </SiteInfoReply>'
...
Checking the URL 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500/CCM_Client/ccmsetup.cab
ccmsetup: Host=CMG.cloudapp.net, Path=/CCM_Proxy_ServerAuth/72057594037937995/CCM_Client
Appending CCM Token to the header.
Found a valid online MP 'https://CMG.cloudapp.net/CCM_PROXY_MutualAuth/72186325152220500
Searching for DP locations from MP(s)...
CCMSETUP bootstrap from Internet: 1
Sending message body '<ContentLocationRequest SchemaVersion="1.00" BGRVersion="1"> ...
The location 'https://CMG.cloudapp.net/downloadrestservice.svc/getcontentxmlsecure?pid=CS100001&cid=CS100001
...
Installing version 5.00.8968.1000 of the client with product code {66653948-0717-4D50-B0B9-ED66FDED2DDB}
Running installation package
Package: C:\WINDOWS\ccmsetup\{E6F27809-FF66-4BAA-B0FB-E4A154A6A388}\client.msi
Obs!
Om klienten hittar innehållet från en innehållsaktiverad CMG laddar ccmsetup ned innehållet från molnlagringen. Om den senaste klientversionen inte är tillgänglig i molnet laddar den ned innehållet från hanteringsplatsen via en CMG-begäran.
Klientregistrering
1. Configuration Manager registrering av klientbegäran
När ccmsetup har installerat Configuration Manager-klienten initieras registreringen. Följande poster loggas i ClientIDManagerStartup.log för klienten:
AADJoinStatusTask: Client hasn't been registered yet.
RegEndPoint: Event notification: CCM_RemoteClient_Reassigned
RegEndPoint: Received notification for site assignment change from '<none>' to 'MEM'.
...
[RegTask] - Starting registration, attempt 1.
[RegTask] - Client is not registered. Sending registration request for GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139 ...
Registering client using AAD auth.
2. Configuration Manager begär Microsoft Entra token för att registrera klienten
Klienten begär en ny Microsoft Entra token för registrering med hjälp av Microsoft Entra autentisering. Den föredrar en enhetstoken, men om den inte är tillgänglig återgår klienten till att begära en Microsoft Entra användartoken. Följande poster loggas i ADALOperationProvider.log för klienten:
Getting AAD (user) token with: ClientId = 0b7c8ab3-9ea1-4ffa-b2b9-8ffdd944bd8, ResourceUrl = https://ConfigMgrService, AccountId = 9756a359-f76a-47d5-8662-9a837012fc35
Retrieved AAD token for AAD user 'e8838041-db7a-42d5-b9ae-78813910e4cc'
3. Registreringsbegäran
Registreringskomponenten på hanteringsplatsen hanterar klientregistreringsprocessen. Klienten skickar ett registreringsmeddelande till MP_ClientRegistration-slutpunkten .
3.1 CMG vidarebefordrar klientregistreringsbegäran till hanteringsplatsen
Följande poster loggas i MP_RegistrationManager.log för det platssystem som är värd för hanteringsplatsen som hanterar klientbegäran:
Registering device using AAD auth: DeviceId='8d2b4ff9-0172-4998-9851-b5324303385f ', TenantId='c8c82542-203c-4df9-9d86-cdd4dae67e0a'
Processing Registration request from Client 'GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139'
3.2 Configuration Manager klienten är registrerad
Om registreringen lyckas får klienten ett bekräftelsemeddelande om registrering med godkännande 3 för Microsoft Entra ID-baserad registrering. Följande poster loggas i ClientIDManagerStartup.log för klienten:
[RegTask] - Client is registered. Server assigned ClientID is GUID:C66EE0FD-08E7-4B38-B282-7E6954B71139. Approval status 3
4. Configuration Manager klienttokenbegäran
När servern har bekräftat klientregistreringen bearbetar klienten svarsmeddelandet. Klienten begär och cachelagrar sedan en ny CCM-token. Följande poster loggas i ClientIDManagerStartup.log för klienten:
Getting CCM Token from STS server 'MP.MYCORP.COM'
Getting CCM Token from https://MP.MYCORP.COM/CCM_STS
...
Cached encrypted token for 'S-1-5-18'. Will expire at '08/12/2020 18:55:40'
4.1 CMG hämtar och vidarebefordrar CCM_Token begäran till CMG-anslutningspunkten
Följande poster loggas i CMGService.log för den virtuella CMG-datorn och det platssystem som är värd för CMG-anslutningspunktsrollen:
RequestUri: /CCM_PROXY_SERVERAUTH/72057594037937981/CCM_STS RequestCount: 769 RequestSize: 1081595 Bytes ResponseCount: 769 ResponseSize: 36143 Bytes AverageElapsedTime: 3945 ms
4.2 CMG-anslutningspunkt omvandlar CMG-klientbegäran till hanteringsplatsklientbegäran
Följande poster loggas i SMS_CLOUD_PROXYCONNECTOR.log för platssystemet som är värd för CMG-anslutningspunktsrollen:
MessageID: 3087bd34-b82c-4950-b972-e82bb0fb8385 RequestURI: https://MP.MYCORP.COM/CCM_STS EndpointName: CCM_STS ResponseHeader: HTTP/1.1 200 OK ~~ ResponseBodySize: 0 ElapsedTime: 2 ms
4.3 Hanteringsplats verifierar användartoken i platsdatabasen
Följande poster loggas i CCM_STS.log för det platssystem som är värd för hanteringsplatsen som hanterar klientbegäran:
ProcessRequest - Start
Incoming request URL: https://MP.MYCORP.COM/CCM_STS
Validated AAD token. TokenType: UDA TenantId: 2ca9a796-a1a6-43ec-88f1-5935b32155c5 UserId: e8838041-db7a-42d5-b9ae-78813910e4cc DeviceId: 8d2b4ff9-0172-4998-9851-b5324303385f OnPrem_UserSid: S-1-5-21-1527250992-855612568-2252598708-1604 OnPrem_DeviceSid:
TokenType is UDA
Created SCCM token, token type: UDA, hierarchyId: 8ed3174b-e814-41b5-b51c-fb368f0d4003, userId: 23bbbba2-702e-4db4-8fd9-3b4fe3a5175d, deviceId: GUID:13E80CEF-5698-4C63-9ED6-E58FBFF78C38
Issued token
Return token to client
Servern returnerar CCM-token till klienten för resten av kommunikationen mellan klienter.
Obs!
Under klientregistreringen körs alltid certifikatverifiering. Den här processen sker även om du använder Microsoft Entra autentiseringsmetod för att registrera klienten. Det här beteendet är ett reservalternativ om Microsoft Entra autentiseringen inte lyckas.
Förnyelse av CCM-token
CCM-token har en livslängd på åtta timmar. När klienten upptäcker att CCM-token har upphört att gälla eller nästan upphör att gälla skickar den en ny CCM-tokenbegäran. CcmMessaging-komponenten hanterar den här förnyelseprocessen. Följande poster loggas i CcmMessaging.log för klienten:
Sending remote sync message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' to host 'CMG.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500' endpoint 'MP_PolicyManager'. Flags 0x280, sender account S-1-5-21-1721254763-462695806-1538882281-3289177
...
CCM Token for 'S-1-5-8-1721254763-462695806-1538882281-3289177' (12/23/2019 21:47:24) is already expired or close to expire
Getting CCM Token from https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/CCM_STS
Cached encrypted token for 'S-1-5-21-1721254763-462695806-1538882281-3289177'. Will expire at '01/10/2020 17:14:54'
...
ccmhttp: Host=CMG.CLOUDAPP.NET, Path=/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request, Port=443, Protocol=https, CcmTokenAuth=1, Flags=0x4200, Options=0x1e0
Target URL scheme is HTTPS: https://CMG.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72186325152220500/ccm_system_tokenauth/request
Appending CCM Token to the header.
...
Message '{BD03DEED-D09A-4E63-ADAD-596376FFB0DA}' got reply message '{36EE3A78-8F6E-425F-BF5C-8460E8E56C33}' to endpoint 'dummy'
Vanliga problem
Rotcertifikatutfärdare finns inte: Klienter behöver rotcertifikatutfärdarcertifikatet för att verifiera CMG-serverns autentiseringscertifikat.
CRL-kontrollen är aktiverad: Publicera listan över återkallade certifikat på Internet. Du kan också använda parametern
/NoCRLCheck
för ccmsetup. Du kan också inaktivera följande alternativ: Klienter kontrollerar listan över återkallade certifikat (CRL) för platssystem. Hitta den här inställningen på fliken Kommunikationssäkerhet i webbplatsegenskaperna.WPJ-certifikatet hittades inte: Kontrollera att enheten är Microsoft Entra ansluten. Använd dsregcmd.exe. Titta till exempel
dsregcmd /status
på avsnittet Enhetstillstånd .
Tips
Klientkommunikation via CMG, CMG-anslutningspunkt och hanteringsplats körs via HTTPS. Om du konfigurerar platsen för utökad HTTP kan du fortfarande konfigurera hanteringsplatsen för HTTP.
Klienten verifierar CMG-serverns autentiseringscertifikat:
- PKI-certifikat: Klienten kräver rotcertifikatutfärdare för CMG-certifikatet i det lokala arkivet.
- Certifikat från tredje part: Klienter verifierar automatiskt ett certifikat med rotcertifikatutfärdare som publicerats på Internet.
CMG, CMG-anslutningspunkt och hanteringsplats validerar Microsoft Entra-ID och CCM-token.
Kommunikationen mellan CMG-anslutningspunkten och hanteringsplatsen skyddas också i båda ändar:
- CMG-anslutningspunkten använder klientautentiseringscertifikat.
- MP använder ett PKI-certifikat för HTTPS-konfiguration eller ett självsignerat certifikat för förbättrad HTTP.